TL;DR : L’essentiel
- Un script de 732 octets suffit pour exploiter Copy Fail. La vulnérabilité permet à un utilisateur local d’obtenir les privilèges root sur presque toutes les versions de Linux depuis 2017.
- L’attaque cible le cache de page partagé entre les processus. Cette méthode permet de franchir les limites des conteneurs isolés et de compromettre des environnements Kubernetes.
- La faille provient d’une optimisation de 2017 dans le noyau. Une plateforme d’intelligence artificielle a découvert cette erreur après seulement une heure d’analyse automatique.
La vulnérabilité Copy Fail (CVE-2026-31431) ébranle l’écosystème Linux avec un score de dangerosité proche de 8. Découverte par la société Theori grâce à la plateforme d’intelligence artificielle Xint Code, cette erreur de logique permet à un utilisateur sans privilèges de devenir administrateur. Le mécanisme repose sur une manipulation précise du cache de page, l’espace de la mémoire vive qui stocke les données temporaires des fichiers pour accélérer le fonctionnement global des systèmes.
Le mécanisme de Copy Fail détourne le cache de page
L’attaque exploite une interface de communication nommée AF_ALG. Ce composant permet aux programmes classiques de solliciter le noyau Linux pour effectuer des opérations cryptographiques. Selon Security Affairs, les assaillants détournent une fonction appelée splice pour injecter des données directement dans le cache de page. Le système écrit alors quatre octets de manière incontrôlée à un emplacement mémoire choisi.
Cette corruption cible généralement des fichiers sensibles comme /usr/bin/su. Ce binaire possède un attribut spécial nommé setuid, qui lui confère temporairement des droits élevés. En modifiant seulement quatre octets de ce programme durant son passage en mémoire vive, l’attaquant altère son comportement logique. Comme l’indique The Hacker News, la modification reste invisible pour les outils de contrôle d’intégrité car le fichier original sur le disque dur n’est jamais touché.
L'essentiel Cybersécurité, IA & Tech
Rejoignez la communauté. 3 fois par semaine, recevez l'analyse des tendances par Marc Barbezat. Pas de spam, juste de l'info.
L’intelligence artificielle révèle une faille de logique ancienne
L’origine du problème remonte à l’été 2017. À cette période, une mise à jour du code source a introduit une optimisation pour traiter les données plus rapidement. Au lieu de séparer les entrées et les sorties des calculs, le noyau a commencé à réutiliser le même espace mémoire. Cette décision a créé la faille Copy Fail. D’après BleepingComputer, il a fallu l’intervention d’un outil d’analyse automatisé pour repérer ce défaut structurel après une heure d’examen seulement.
Les distributions majeures comme Ubuntu, Amazon Linux ou RHEL ont publié des correctifs en urgence. La solution consiste à supprimer l’optimisation litigieuse pour restaurer une gestion sécurisée de la mémoire. Pour les parcs informatiques qui ne peuvent pas être mis à jour immédiatement, les experts recommandent de désactiver le module algif_aead. Cette mesure de protection temporaire bloque la création des sockets nécessaires à l’exploitation de la vulnérabilité.
La sécurisation des infrastructures cloud et des grappes de serveurs dépend désormais de la diligence des administrateurs pour appliquer ces mises à jour critiques du noyau.
FAQ
Qu’est-ce que la faille Copy Fail ?
Il s’agit d’une vulnérabilité logicielle permettant à n’importe quel utilisateur local de prendre le contrôle total d’une machine Linux. Elle utilise un bug dans les fonctions cryptographiques du système.
Comment fonctionne l’élévation de privilèges ?
L’attaquant exécute un script qui injecte quatre octets dans la mémoire vive. Ces octets modifient le fonctionnement d’un logiciel système pour accorder les droits d’administration à l’utilisateur.
Quelles sont les solutions de protection ?
La protection principale consiste à installer les mises à jour de sécurité des éditeurs Linux. Alternativement, les techniciens peuvent désactiver le module vulnérable via une commande de configuration.
Qu’est-ce que la plateforme Xint Code ?
Xint Code est une solution de test d’intrusion automatisée pilotée par l’intelligence artificielle. Développée par la société Theori, elle a identifié cette faille critique en analysant le noyau Linux en seulement une heure environ.
Pour approfondir le sujet
Actualités liées
Un ingénieur en sécurité de SpaceX a utilisé l'IA pour découvrir une faille Linux vieille de 19 ans qui permettait aux attaquants d'obtenir les droits root.
CIFSwitch est un bug logique Linux vieux de 19 ans qui transforme des clés d'authentification CIFS falsifiées en privilèges root. Il affecte Mint, CentOS, Rocky, Kali et SLES. Lire la suite
Serveurs, API, temps de veille...
DCOD est indépendant et sans revenus. Soutenez le site pour l'aider à couvrir ses frais techniques.
